Übereinstimmungsbedingungen für Firewall-Filter für IPv6-Datenverkehr

Stimmt mit dem Feld für die IPv6-Quell- oder Zieladresse überein, es sei denn, die except Option ist enthalten. Wenn die Option enthalten ist, stimmen Sie nicht mit dem Feld für die IPv6-Quell- oder Zieladresse überein.

Geben Sie an, von welchen Gruppen Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. Sie müssen sie in der Reihenfolge ihrer Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben Vorrang vor den Daten in den nachfolgenden Gruppen.

Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben.

Übereinstimmung mit dem IPv6-Zieladressfeld, sofern die except Option nicht enthalten ist. Wenn die Option enthalten ist, stimmen Sie nicht mit dem IPv6-Zieladressfeld überein.

Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als destination-address auch die addressÜbereinstimmungsbedingung im selben Begriff anzugeben.

Übereinstimmung mit einem oder mehreren angegebenen Zielklassennamen (Gruppen von Zielpräfixen, die gruppiert sind und einen Klassennamen erhalten).

Weitere Informationen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter basierend auf Adressklassen.

Stimmt nicht mit einem oder mehreren angegebenen Zielklassennamen überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung destination-class .

Stimmt mit dem Feld UDP- oder TCP-Zielport überein.

Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als destination-port auch die portÜbereinstimmungsbedingung im selben Begriff anzugeben.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header udp Übereinstimmungsbedingung oder next-header tcp im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): afs ( 1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs ((49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) oder xdmcp (177).

Stimmen Sie nicht mit dem Feld UDP- oder TCP-Zielport überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung destination-port .

Ordnen Sie das IPv6-Zielpräfix der angegebenen Liste zu, es sei denn, die except Option ist enthalten. Wenn die Option enthalten ist, wird das IPv6-Zielpräfix nicht mit der angegebenen Liste abgeglichen.

Die Präfixliste wird auf der [edit policy-options prefix-list prefix-list-nameHierarchieebene ] definiert.

Gleichen Sie einen Erweiterungsheadertyp ab, der im Paket enthalten ist, indem Sie einen Next Header-Wert identifizieren.

Im ersten Fragment eines Pakets sucht der Filter nach einer Übereinstimmung in einem der Erweiterungsheadertypen. Wenn ein Paket mit einem Fragmentheader gefunden wird (ein nachfolgendes Fragment), sucht der Filter nur nach einer Übereinstimmung mit dem nächsten Erweiterungsheadertyp, da die Position anderer Erweiterungsheader unvorhersehbar ist.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): ah (51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135) oder routing (43).

Um einen beliebigen Wert für die Erweiterungs-Header-Option zu finden, verwenden Sie das Textsynonym any.

Initialisieren Sie bei Routern der MX-Serie mit MPCs neue Firewall-Filter, die diese Bedingung enthalten, indem Sie die entsprechende SNMP-MIB durchlaufen.

Stimmt mit dem 20-Bit-Flow-Label-Feld im Header eines IPv6-Pakets überein. Die Werte reichen von 0x1 bis 0xFFFFF.

flow-label- und next-header-Übereinstimmungsbedingungen können nicht nebeneinander existieren. Es kann jeweils nur eine dieser Übereinstimmungsbedingungen angewendet werden. Um flow-label zu aktivieren und next-header zu deaktivieren, wenden Sie die folgende Konfiguration an: set firewall v6-flowlabel-enable.

In der folgenden Tabelle wird das Verhalten der Flow-Label-Übereinstimmungsbedingung mit der next-header-Bedingung zusammengefasst.

Zusätzlich zum regulären Flow-Label-Wert können Sie beim Konfigurieren der Übereinstimmung einen Maskenwert verwenden. Der Maskenwert stimmt mit bestimmten Bits des angegebenen Flussbezeichnungswerts überein.

Stimmt nicht mit einem Erweiterungsheadertyp überein, der im Paket enthalten ist. Weitere Informationen finden Sie in der Übereinstimmungsbedingung extension-headers .

Länge der ganzzahligen Eingabe (1..32 Bit);

(Optional) Länge der String-Eingabe (1..128 Bit)

Bit-Offset nach dem (Match-Start + Byte) Offset (0..7)

Byte-Offset nach dem Startpunkt des Spiels

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

Maskieren Sie Bits in den Paketdaten, die abgeglichen werden sollen

Startpunkt für den Abgleich im Paket

Abzugleichende Wertdaten/Zeichenfolge

Weitere Informationen finden Sie unter Flexible Übereinstimmungsbedingungen für Firewall-Filter

Länge der abzugleichenden Daten in Bit (0..32)

Bit-Offset nach dem (Match-Start + Byte) Offset (0..7)

Byte-Offset nach dem Startpunkt des Spiels

Wählen Sie eine flexible Übereinstimmung aus einem vordefinierten Vorlagenfeld aus

Startpunkt für den Abgleich im Paket

Wertebereich, der abgeglichen werden soll

Übereinstimmung mit diesem Wertebereich nicht

Weitere Informationen finden Sie unter Flexible Übereinstimmungsbedingungen für Firewall-Filter

Entspricht der Weiterleitungsklasse des Pakets.

Geben Sie , best-effort, expedited-forwardingoder network-control.assured-forwarding

Weitere Informationen zu Weiterleitungsklassen und routerinternen Ausgabewarteschlangen finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.

Sie stimmt nicht mit der Weiterleitungsklasse des Pakets überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung forwarding-class .

Passen Sie das Hop-Limit an das angegebene Hop-Limit oder eine Reihe von Hop-Limits an. Geben Sie für hop-limiteinen einzelnen Wert oder einen Wertebereich zwischen 0 und 255 an.

Wird nur auf Schnittstellen unterstützt, die auf MICs oder MPCs in Routern der MX-Serie gehostet werden.

Passen Sie das Hop-Limit nicht an das angegebene Hop-Limit oder den angegebenen Satz von Hop-Limits an. Weitere Informationen finden Sie in der Übereinstimmungsbedingung hop-limit .

Wird nur auf Schnittstellen unterstützt, die auf MICs oder MPCs in Routern der MX-Serie gehostet werden.

Stimmen Sie mit dem Feld ICMP-Nachrichtencode überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header icmp Übereinstimmungsbedingung oder next-header icmp6 im selben Begriff konfigurieren.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, müssen Sie auch die icmp-type message-type Übereinstimmungsbedingung im selben Begriff konfigurieren. Ein ICMP-Meldungscode liefert spezifischere Informationen als ein ICMP-Meldungstyp, die Bedeutung eines ICMP-Meldungscodes hängt jedoch vom zugeordneten ICMP-Meldungstyp ab.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet). Die Schlüsselwörter werden nach dem ICMP-Typ gruppiert, dem sie zugeordnet sind:

• Parameter-Problem: ip6-header-bad ( 0), unrecognized-next-header (1), unrecognized-option (2)

• Zeitüberschreitung: ttl-eq-zero-during-reassembly ( 1), ttl-eq-zero-during-transit (0)

• destination-unreachable: administratively-prohibited ( 1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

Stimmen Sie nicht mit dem ICMP-Meldungscodefeld überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung icmp-code .

Stimmen Sie mit dem Feld ICMP-Nachrichtentyp überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header icmp Übereinstimmungsbedingung oder next-header icmp6 im selben Begriff konfigurieren.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): certificate-path-advertisement (149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130), membership-report (131), membership-termination (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), neighbor-advertisement (136), neighbor-solicit (135), node-information-reply (140), node-information-request (139), packet-too-big (2), parameter-problem (4), private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) oder time-exceeded (3).

Für private-experimentation-201 (201) können Sie auch einen Wertebereich in eckigen Klammern angeben.

Stimmen Sie nicht mit dem Feld ICMP-Nachrichtentyp überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung icmp-type .

Stimmt mit der Schnittstelle überein, auf der das Paket empfangen wurde.

Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Geben Sie für group-numbereinen einzelnen Wert oder einen Wertebereich von 0 bis an 255.

Um einer Schnittstellengruppe group-numbereine logische Schnittstelle zuzuordnen, geben Sie die auf Hierarchieebene [interfaces interface-name unit number family family filter group] angroup-number .

Weitere Informationen finden Sie unter Filtern von Paketen, die in einer Gruppe von Schnittstellengruppen empfangen wurden – Übersicht.

Ordnen Sie die logische Schnittstelle, auf der das Paket empfangen wurde, nicht der angegebenen Schnittstellengruppe oder Gruppe von Schnittstellengruppen zu. Weitere Informationen finden Sie in der Übereinstimmungsbedingung interface-group .

Ordnen Sie die Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe zu.

Um eine Schnittstellenmenge zu definieren, fügen Sie die interface-set Anweisung auf Hierarchieebene [edit firewall] ein.

Weitere Informationen finden Sie unter Filtern von Paketen, die in einer Schnittstellengruppe empfangen wurden – Übersicht.

Ordnen Sie das 8-Bit-IP-Optionsfeld, falls vorhanden, dem angegebenen Wert oder der angegebenen Werteliste zu.

Anstelle eines numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Optionswerte werden ebenfalls aufgelistet): loose-source-route ( 131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) oder timestamp (68).

Um einen beliebigen Wert für die IP- Option abzugleichen, verwenden Sie das Textsynonym any. Um mehrere Werte abzugleichen, geben Sie die Liste der Werte in eckigen Klammern ('[' und ']') an. Um einen Wertebereich abzugleichen, verwenden Sie die Wertespezifikation [ value1-value2 ].

Beispielsweise stimmt die Übereinstimmungsbedingung ip-options [ 0-147 ] in einem IP-Optionsfeld überein, das die loose-source-routeWerte , record-route, oder security oder einen anderen Wert zwischen 0 und 147 enthält. Diese Übereinstimmungsbedingung stimmt jedoch nicht mit einem IP-Optionsfeld überein, das nur den router-alert Wert (148) enthält.

Bei den meisten Schnittstellen bewirkt ein Filterbegriff, der eine ip-option Übereinstimmung mit einem oder mehreren bestimmten IP-Optionswerten angibt (ein anderer Wert als any), dass Pakete an die Routing-Engine gesendet werden, damit der Kernel das IP-Optionsfeld im Paket-Header analysieren kann.

• Für einen Firewallfilterbegriff, der eine ip-option Übereinstimmung mit einem oder mehreren bestimmten IP-Optionswerten angibt, können Sie die Aktionen , logund oder syslog nicht beendend countnur angeben, wenn Sie die discard beendende Aktion im selben Begriff angeben. Dieses Verhalten verhindert die doppelte Zählung von Paketen für einen Filter, der auf eine Transitschnittstelle auf dem Router angewendet wird.

• Pakete, die auf dem Kernel verarbeitet werden, können im Falle eines Systemengpasses verworfen werden. Verwenden Sie die Übereinstimmungsbedingung, um sicherzustellen, dass übereinstimmende Pakete stattdessen an die Paketweiterleitungs-Engine gesendet werden (wo die Paketverarbeitung in Hardware ip-options any implementiert ist).

Der 10-Gigabit Ethernet Modular Port Concentrator (MPC), der 100-Gigabit-Ethernet-MPC, der 60-Gigabit-Ethernet-MPC, der 60-Gigabit-Ethernet-MPC und der 60-Gigabit-Ethernet-Enhanced Queuing-MPC auf Routern der MX-Serie sind in der Lage, das IP-Optionsfeld des IPv4-Paketheaders zu analysieren. Bei Schnittstellen, die auf diesen MPCs konfiguriert sind, werden alle Pakete, die mit der ip-options Übereinstimmungsbedingung abgeglichen werden, zur Verarbeitung an die Paketweiterleitungs-Engine gesendet.

Gleichen Sie das IP-Optionsfeld nicht mit dem angegebenen Wert oder der angegebenen Werteliste ab. Weitere Informationen zum Angeben von , valuesfinden Sie in der ip-options Übereinstimmungsbedingung.

Entspricht der PLP-Stufe (Packet Loss Priority).

Geben Sie eine einzelne Ebene oder mehrere Ebenen an: low, medium-low, medium-highoder high.

Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie und Switches der EX-Serie.

Für IP-Datenverkehr auf Routern der M320-, MX - Serie, T-Serie und Switches der EX-Serie mit Enhanced II Flexible PIC Concentrators (FPCs) müssen Sie die tri-color Anweisung auf Hierarchieebene [edit class-of-service] einfügen, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Wenn die tri-color Anweisung nicht aktiviert ist, können Sie nur die high Ebenen und low konfigurieren. Dies gilt für alle Protokollfamilien.

Weitere Informationen zu dieser tri-color Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungsrichtlinien. Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.

Nicht mit dem PLP-Wert übereinstimmen. Weitere Informationen finden Sie in der Übereinstimmungsbedingung loss-priority .

Stimmt mit dem ersten 8-Bit-Feld für den nächsten Header im Paket überein. Unterstützung für die next-header Übereinstimmungsbedingung der Firewall ist in Junos OS Version 13.3R6 und höher verfügbar.

Stimmt mit dem ersten 8-Bit-Feld für den nächsten Header im Paket überein.

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): ah ( 51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58), igmp icmpv6 (2), ipip (4), (41 ipv6 ), mobility (135), no-next-header (59), ospf (89), pim (103), routing (43), rsvp (46), sctp (132), tcp (6), udp  (17) oder vrrp (112).

Stimmen Sie nicht mit dem 8-Bit-Feld "Next Header" überein, das den Typ des Headers zwischen dem IPv6-Header und der Nutzlast angibt. Weitere Informationen finden Sie unter Übereinstimmungstyp next-header .

Entspricht der Länge des empfangenen Pakets in Bytes. Die Länge bezieht sich nur auf das IP-Paket, einschließlich des Paket-Headers, und enthält keinen Layer-2-Kapselungs-Overhead.

Stimmt nicht mit der Länge des empfangenen Pakets in Byte überein. Weitere Informationen finden Sie unter Übereinstimmungstyp packet-length .

Entspricht dem Typ des Nutzlastprotokolls.

Anstelle des protocol-type numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet): Geben Sie eine oder mehrere der folgenden Optionen an: ah ( 51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58, igmp (2), ipip (4), ipv6 (41), no-next-headerospf , (89), pim (103), routing, rsvp (46), sctp (132), tcp (6), udp (17) oder vrrp (112) (dstopts (60), fragment (44), hop-by-hop 0) und Routing sind in Junos OS Version 16.1 und höher nicht verfügbar).

Sie können die payload-protocol Bedingung auch verwenden, um einen Erweiterungs-Header-Typ abzugleichen, den die Firmware von Juniper Networks nicht interpretieren kann. Sie können einen Bereich von Erweiterungsheaderwerten in eckigen Klammern angeben. Wenn die Firmware den ersten Erweiterungs-Header-Typ findet, den sie in einem Paket nicht interpretieren kann, wird der payload-protocol Wert auf diesen Erweiterungs-Header-Typ gesetzt. Der Firewall-Filter untersucht nur den ersten Erweiterungs-Header-Typ, den die Firmware im Paket nicht interpretieren kann.

Sie stimmen nicht mit dem Typ des Nutzlastprotokolls überein. Weitere Informationen finden Sie unter Übereinstimmungstyp payload-protocol .

Stimmen Sie mit dem Feld UDP- oder TCP-Quell- oder Zielport überein.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, können Sie die destination-port Übereinstimmungsbedingung oder die source-port Übereinstimmungsbedingung nicht im selben Begriff konfigurieren.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header udp Übereinstimmungsbedingung oder next-header tcp im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Werts können Sie eines der unter destination-portaufgeführten Textsynonyme angeben.

Stimmen Sie nicht mit dem Feld UDP- oder TCP-Quell- oder Zielport überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung port .

Ordnen Sie die Präfixe der Quell- oder Zieladressfelder den Präfixen in der angegebenen Liste zu, es sei denn, die except Option ist enthalten. Wenn die Option enthalten ist, werden die Präfixe der Quell- oder Zieladressfelder nicht mit den Präfixen in der angegebenen Liste abgeglichen.

Die Präfixliste wird auf Hierarchieebene [edit policy-options prefix-list prefix-list-name] definiert.

Entspricht einem Paket, das von einem Filter empfangen wurde, auf den eine service-filter-hit Aktion angewendet wurde.

Stimmt mit der IPv6-Adresse des Quellknotens überein, der das Paket sendet, es sei denn, die except Option ist enthalten. Wenn die Option enthalten ist, stimmt sie nicht mit der IPv6-Adresse des Quellknotens überein, der das Paket sendet.

Es ist nicht möglich, sowohl die Übereinstimmungsbedingung als source-address auch die addressÜbereinstimmungsbedingung im selben Begriff anzugeben.

Übereinstimmung mit einem oder mehreren angegebenen Quellklassennamen (Gruppen von Quellpräfixen, die gruppiert sind und einen Klassennamen erhalten).

Weitere Informationen finden Sie unter Übereinstimmungsbedingungen für Firewallfilter basierend auf Adressklassen.

Stimmen Sie nicht mit einem oder mehreren angegebenen Quellklassennamen überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung source-class .

Stimmen Sie mit dem Feld UDP- oder TCP-Quellport überein.

Sie können die port Bedingungen und source-port übereinstimmen nicht im selben Begriff angeben.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header udp Übereinstimmungsbedingung oder next-header tcp im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.

Anstelle des numerischen Werts können Sie eines der Textsynonyme angeben, die mit der destination-port number Übereinstimmungsbedingung aufgeführt sind.

Stimmen Sie nicht mit dem Feld für den UDP- oder TCP-Quellport überein. Weitere Informationen finden Sie in der Übereinstimmungsbedingung source-port .

Stimmt mit dem IPv6-Adresspräfix des Paketquellenfelds überein, es sei denn, die except Option ist enthalten. Wenn die Option enthalten ist, stimmen Sie nicht mit dem IPv6-Adresspräfix des Paketquellenfelds überein.

Geben Sie einen Präfixlistennamen an, der auf Hierarchieebene [edit policy-options prefix-list prefix-list-name] definiert ist.

Stimmt mit anderen TCP-Paketen als dem ersten Paket einer Verbindung überein. Dies ist ein Textsynonym für tcp-flags "(ack | rst)" (0x14).

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header tcp Übereinstimmungsbedingung im selben Begriff konfigurieren.

Entspricht einem oder mehreren der niederwertigen 6 Bits im Feld 8-Bit-TCP-Flags im TCP-Header.

Um einzelne Bitfelder anzugeben, können Sie die folgenden Textsynonyme oder Hexadezimalwerte angeben:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

In einer TCP-Sitzung wird das SYN-Flag nur im ursprünglich gesendeten Paket gesetzt, während das ACK-Flag in allen Paketen festgelegt wird, die nach dem ursprünglichen Paket gesendet werden.

Sie können mehrere Flags mithilfe der logischen Bitfeldoperatoren aneinanderreihen.

Informationen zu kombinierten Bitfeld-Übereinstimmungsbedingungen finden Sie unter tcp-established und tcp-initial Übereinstimmungsbedingungen.

Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header tcp Übereinstimmungsbedingung im selben Begriff konfigurieren, um anzugeben, dass das TCP-Protokoll auf dem Port verwendet wird.

Stimmt mit dem ursprünglichen Paket einer TCP-Verbindung überein. Dies ist ein Textsynonym für tcp-flags "(!ack & syn)".

Mit dieser Bedingung wird nicht implizit überprüft, ob es sich bei dem Protokoll um ein TCP-Protokoll handelt. Wenn Sie diese Übereinstimmungsbedingung konfigurieren, empfehlen wir, dass Sie auch die next-header tcp Übereinstimmungsbedingung im selben Begriff konfigurieren.

Übereinstimmung mit dem 8-Bit-Feld, das die CoS-Priorität (Class-of-Service) des Pakets angibt.

Dieses Feld wurde zuvor als ToS-Feld (Type-of-Service) in IPv4 verwendet.

Sie können einen numerischen Wert von 0 bis 63angeben. Um den Wert in hexadezimaler Form anzugeben, schließen Sie ihn als Präfix ein 0x . Um den Wert in binärer Form anzugeben, fügen Sie ihn als Präfix ein. b

Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Feldwerte werden ebenfalls aufgelistet):

• RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior),definiert einen Codepunkt: ef(46).

• RFC 2597, Assured Forwarding PHB Group, definiert 4 Klassen mit 3 Drop-Prioritäten in jeder Klasse für insgesamt 12 Codepunkte:

  • af11 ( 10), af12 (12), af13 (14)

  • af21 ( 18), af22 (20), af23 (22)

  • af31 ( 26), af32 (28), af33 (30)

  • af41 ( 34), af42 (36), af43 (38)

Stimmen Sie nicht mit dem 8-Bit-Feld überein, das die CoS-Priorität des Pakets angibt. Weitere Informationen finden Sie in der Beschreibung des traffic-class Spiels.